[Cameroun] Comprendre en 10 questions la nouvelle loi sur la protection des données à caractère personnel. Par Hervé Kack.

[Cameroun] Comprendre en 10 questions la nouvelle loi sur la protection des données à caractère personnel.

Par Hervé Kack.

1582 lectures 1re Parution: 4.68  /5

Explorer : # protection des données personnelles # consentement # sanctions

Ce que vous allez lire ici :

À partir du 23 juin 2026, une nouvelle loi sur la protection des données au Cameroun obligera les entreprises à respecter des normes strictes concernant les données personnelles des citoyens. Cette législation introduit des sanctions significatives pour les violations, renforçant ainsi la sécurité et les droits individuels face à la collecte de données.
Description rédigée par l'IA du Village

Dans une ère de disruption numérique, le Cameroun vient de renforcer son dispositif légal confirmant ainsi son arrimage aux exigences stratégiques et économiques liées à la gestion des données. En effet, à travers la loi N°2024/017 promulguée le 23 décembre 2024, le Cameroun veut garantir les droits et les libertés fondamentaux des personnes en matière de traitement de leurs données à caractère personnel.

Votre entreprise est-elle prête dans sa mise en conformité ?
Vous trouverez ci-après une présentation en 10 points sur ce qui va changer au Cameroun.

-

1. A quelle date la loi sera-t-elle applicable ?

A compter du 23 juin 2026, c’est-à-dire dans moins de 18 mois (délai de procédure de mise en conformité), les entreprises camerounaises et étrangères exerçant leurs activités au Cameroun seront astreintes au respect de la nouvelle loi relative à la protection des données à caractère personnel. Toutefois, sa promulgation le 23 décembre 2024 lui confère déjà une valeur applicable. Les entités et les citoyens doivent d’ores et déjà se familiariser avec cette nouvelle loi.

Puisqu’il s’agit d’une loi et non d’un règlement, celle-ci entrera directement en vigueur, en nécessitant de législations transitoires. Dans de nombreux cas, les dispositions diverses feront l’objet de textes spécifiques à savoir : traitement de donnée à caractère personnel en matière de santé, de sécurité, de défense, à la justice et à l’état civil.

2. Quelles sont les données concernées ?

La loi ne s’applique qu’aux « données à caractère personnel » définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (Article 5).
Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à : un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

C’est dire que les données des entreprises morales ne seront pas concernées. C’est le citoyen à titre personnel qui est concerné principalement : les mineurs, toutes personnes se connectant sur internet ou acheteurs de service en ligne (transports, livraisons, reservations etc...) ou au travers d’une application prestataires de service et des personnes décédées.

Les entreprises qui auront à gérer des données à caractère personnel notamment lors de l’interconnexion des données sont également concernées quant au traitement à mener sur cette donnée.

3. Quelles sont les activités et données concernées par la nouvelle loi ?

La loi s’applique aux traitements de données à caractère personnel, automatisés en tout ou partie, et aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier.
Constitue un traitement « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés entièrement ou partiellement automatisés ou non automatisés et appliquées à des données ou des ensembles de données à caractère personnel, notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement, le verrouillage, l’effacement ou la destruction ».

La loi ne s’applique cependant pas à certaines activités, parmi lesquelles (Article 3) :

Les copies temporaires faites dans le cadre des activités techniques de transmission et de fourniture d’accès utilisant un réseau de communications en vue de stockage intermédiaire et transitoire des données afin de permettre à d’autres destinataires du service, le meilleur accès possible aux informations transmises.
Les traitements de données à caractère personnel effectués à des seules fins littéraires ou artistiques, archivistiques dans l’intérêt public, de recherche scientifique ou historique, statistique, ou de journalisme quel que soit le média utilisé dans le respect des règles déontologiques et éthiques de ces professions, notamment les mesures de sécurité garantissant le secret des sources journalistiques, ainsi que les règles de modération applicables aux forums de discussion mis en œuvre par les éditeurs d’information journalistique.
Les traitements effectués par les personnes physiques dans le cadre d’activités exclusivement personnelles ou domestiques.

4. Quelles sont les entités concernées par la loi ?

La loi s’applique aux responsables de traitement mais également aux sous-traitants disposant d’établissements au Cameroun, dès lors que des données à caractère personnel sont traitées dans le cadre des activités de ces établissements. Il s’applique également aux organisations non établies au Cameroun où le droit camerounais s’applique en vertu du droit international ou des conventions internationales dûment ratifiées. Ce qui peut s’entendre à tout traitement « ciblant » ou effectuant un « suivi » des personnes concernées au Cameroun, dans le cadre d’une « offre de biens ou services » (sans qu’il y ait nécessairement lieu à paiement) ou d’un « suivi » de leur comportement.

5. Quelles sont les sanctions prévues par la loi ?

Les sanctions prévues dans le cadre de cette loi sont marquantes.

Trois types de sanctions sont employés selon la nature et le degré d’infractions aux obligations mises à la charge du responsable de traitement et/ou de son sous-traitant à savoir : les sanctions administratives :

Une mise en demeure (10 jours maximum de délai de mise en conformité), injonction de mise en conformité sous astreinte de 100 000 francs CFA par jour de retard à la sanction de suspension d’activité, au retrait de l’autorisation et une interdiction d’exercer toute activité de traitement de données à caractère personnel.

  • Pour ces responsables de traitement de données à caractère personnel et/ou leurs sous-traitants, en cas de non-respect des dispositions relative à l’interconnexion des fichiers, lesdites entités sont passibles d’une amende allant de 1 000 000 à 5 000 000 de francs CFA.
  • Pour ces responsables de traitement de données à caractère personnel et/ou leurs sous-traitants, en cas de refus de mettre à disposition de la personne concernée, les informations sollicitées dans le cadre du traitement de ses données, lesdites entités sont passibles d’une amende allant de 1 000 000 à 10 000 000 de francs CFA.
  • Pour ces responsables de traitement de données à caractère personnel et/ou leurs sous-traitants, qui opère sans certification prévue dans la loi, lesdites entités sont passibles d’une amende allant de 5 000 000 à 15 000 000 de francs CFA.
  • Pour ces responsables de traitement de données à caractère personnel et/ou leurs sous-traitants, en cas de non-respect des dispositions du référentiel prévu dans la loi, lesdites entités sont passibles d’une amende allant de 5 000 000 à 20 000 000 de francs CFA.
  • Pour ces responsables de traitement de données à caractère personnel et/ou leurs sous-traitants, qui procède au transfert des données à caractère personnel vers un pays tiers, sans autorisation préalable de l’Autorité de protection des données à caractère personnel, lesdites entités sont passibles d’une amende allant de 10 000 000 à 50 000 000 de francs CFA.
  • Pour ces responsables de traitement de données à caractère personnel et/ou leurs sous-traitants, qui ne respecte pas l’une des obligations de son cahier des charges, lesdites entités sont passibles d’une amende allant de 10 000 000 à 100 000 000 de francs CFA.
  • La sanction administrative pour toute personne qui exerce l’activité de traitement à caractère personnel sans autorisation préalable, une pénalité de 5 000 000 à 50 000 000 francs CFA sera infligée.

Deuxième type de sanctions les sanctions civiles :

Les sanctions civiles concernent les atteintes graves mentionnés dans la loi, la personne concernée peut légitimement engagée devant la juridiction compétente, des mesures de sauvegarde de ses droits.

Troisième type de sanctions les sanctions pénales :

Les sanctions pénales dans le cadre de la loi sur la protection des données à caractère personnel sont aménagées contre des cas avérés :

  • D’une collecte de données à caractère personnel par tout moyen frauduleux ainsi que de leur conservation frauduleuse par verrouillage ou par cryptage ;
  • Si le responsable des données et/ou le sous-traitant mène une prospection directe malgré le refus de la personne concernée du traitement de ses données ;
  • Si le traitement des données est réalisé à des fins de profilage ;
  • En cas de refus du droit de modification (modification, rectification, complétude, la mise à jour, le verrouillage ou l’effacement) de la part de la personne concernée par les données relatives à sa personne ou celle d’une personne décédée ;
  • En cas de conservation en mémoire sans le consentement exprès de la personne concernée, en cas de détournement des informations lors de la phase de traitement des données de leur finalité initiale et un traitement incompatible de la finalité initiale ;
  • En cas de divulgation des données à caractère personnel par l’entité responsable du traitement des données, en cas de transfert de données à caractère personnel vers un état étranger ou une organisation internationale qui ne garantit pas le même niveau de protection des données à caractère personnel et en méconnaissance des dispositions de la loi ;
  • Et enfin en cas d’entrave dans les missions de l’Autorité de Protection des données à caractère personnel soit en s’opposant aux missions de contrôle d’un de ses membres, soit en refusant de communiquer à ces membres, les renseignements ou la documentation utiles à leur mission, les peines peuvent être comprises selon la qualification et le degré de 01 an à 10 ans d’emprisonnement et des amendes allant de 100 000 francs CFA à 20 000 000 francs CFA.
  • La sanction pénale maximale concerne les entités morales (les entreprises), elles peuvent être reconnues pénalement responsables et condamnées à une peine d’amende forte allant de 50 000 000 à 1 000 000 000 francs CFA lorsque les infractions suscitées ont été commises par les responsables de ces entités morales.

6. Quel est le principe de base défendu dans cette nouvelle loi ?

La loi relative à la protection des données à caractère personnel au Cameroun pose les principes incontournables en matière de protection des données à caractère personnel qui sont ceux du principe de responsabilité ou Accountability et du consentement du citoyen. Il fait d’une impression mitigée ce que nous analyserons comme légère communication autour de ce principe et une emphase superficielle dans l’écrit de la loi de la part des concepteurs, toutefois la règle internationale (démarche d’origine anglosaxonne) en matière de protection des données à caractère personnel a dans sa « boîte à malice », l’élément de base autour du principe de responsabilité ou Accountability.

Qu’est-ce que c’est que l’Accountability ou le principe de responsabilité ?

C’est un principe selon lequel le responsable de traitement de données est tenu d’adopter des règles internes et de mettre en œuvre les mesures appropriées pour garantir, et être à même de démontrer que le traitement des données à caractère personnel est effectué conformément à la présente loi (Chapitre II de la loi).

Le principe de responsabilité emporte des conséquences importantes pour le responsable du traitement de données. Sans en remplir l’exigence de responsabilité, c’est le risque de compromettre son activité (modèle d’entreprise) qui est en jeu.
En ce qui concerne le consentement, tout comme le principe de base suivi par la loi conformément aux cadres et les règlements internationaux en matière de protection à caractère personnel. Plus qu’un principe de base, le consentement fait partie des principes de base légale dans la protection des données à caractère personnel.
Il forme la ligne de démarcation entre la personne citoyenne concernée et l’entité de traitement de données.
Le consentement est la manifestation de la volonté d’accepter, librement que les données émanant de sa personne fassent l’objet d’un traitement. Le responsable du traitement devra en produire la déclaration ou un acte que toute donnée à caractère personnel la concernant fasse l’objet de traitement.

L’article 27 énumère les garanties du responsable de traitement des données et le sous-traitant à donner à la personne concernée.

Au regard de l’écrit de la loi, il nous est apparu hâtif voir léger que les concepteurs de la loi n’aient pas définis, encadrés et spécifiés un type de consentement capital pour l’efficacité de la protection des données à caractère personnel ce qui optimisera la couverture de toutes les couches utilisatrices d’internet et ses services, celui du consentement de l’enfant. En effet, nous en formulons une réclame, en raison de la vulnérabilité des enfants, de conditions supplémentaires de licéité spécifiques doivent être mises en place.

7. Quelles sont les conséquences concrètes de ces nouvelles règles ?

Les conséquences concrètes qui se dessinent sont :

  • La création d’une Autorité de la Protection des Données Personnels qui pourra sans doute opérer des contrôles en ligne, sur place, sur pièce et sur convocation
  • Il sera attendu de la part des responsables de traitement des données de notifier les failles de sécurité aux autorités et personnes concernées
  • Tout transfert de ces dites données à l’étranger devront faire l’objet d’une déclaration préalable à l’Autorité de la Protection des données à caractère personnel

8. Comment mieux cerner « l’interconnexion des fichiers » et en quoi elle diffère du rapprochement ?

Ce principe est prévu à l’article 36 de la loi.

L’interconnexion des fichiers est la situation dans laquelle il y a mise en relation, connexion concernant au moins deux fichiers dont les données sont mises en relation par un processus automatisé. C’est « un traitement ». Le rapprochement quant à lui, ne suppose pas nécessairement une mise en œuvre de moyens automatisés, par exemple la simple saisie manuelle d’informations issues d’un autre fichier ne constituent pas une interconnexion, mais de simples rapprochements.

9. Quels sont les droits des personnes concernées ?

Les droits des personnes concernées sont significatifs à travers cette loi sur la protection des données à caractère personnel.

La première, la plus fondamentale est le consentement. Comme nous l’avons expliqué en point 6, il est le garant de tout traitement des données. L’article 41 al.1, encadre la communication des données à caractère personnel à des tiers ou leur utilisation pour leur compte, à des fins de prospection directe, cet article indique clairement que ce type d’opération est dorénavant « subordonné à l’obtention préalable du consentement de la personne concernée ».

Le responsable du traitement doit être en mesure de prouver que la personne concernée a donné son consentement (article 41 al.2).

La loi accorde également à la personne concernée le droit à l’oubli (article 37) qui est le droit pour un individu, dans certaines situations, d’obtenir l’effacement des données à caractère personnel le concernant. Les situations prévues sont comprises notamment lors l’opposition (droit d’opposition-article 40) libre et simple au traitement de la personne concernée, lorsque le recueil des données de la personne concernée a été faite de manière illicite, en cas de respect d’une obligation légale, en cas d’inopportunité notamment lorsque leurs utilisations ne sont plus nécessaires par rapport à la finalité du traitement.

La loi reprend par ailleurs les droits fondamentaux des personnes concernées comme le droit d’information sur le traitement des données et les finalités (article 43), droit d’accès et de rectification (article 42), droit à la portabilité des données (article 43 al.4), droit d’opposition au profilage (article 44), et droit à l’effacement ou au déréférencement notamment pour des personnes décédées (article 45).

10. Quelles premières actions sont à mettre en œuvre aujourd’hui pour assurer la mise en conformité des pratiques avec la nouvelle loi ?

La première reste d’engager un état des lieux circonscrits dans les fonctions dites transversales de l’entreprise qui ont de part leurs activités de nature une importante relation avec les clients et qui traitent un grand nombre d’information directe ou indirecte d’une personne physique. Les fonctions Marketing, RH, IT afin de remettre en débat les pratiques internes jusqu’au prononcé de la fin du délai de mise en conformité (18 mois)

Il est aussi impératif de mener une étude introspective des différents outils ou documents contractuels régissant les modalités d’interaction entre les fournisseurs de service et leurs utilisateurs notamment les CGU, des cahiers de charges avec des prestataires ou partenaires… pour se rapprocher de la nouvelle législation.

En fin de compte.

Pour la cause qu’elle justifie en rapport au contexte socioéconomique et politique marqué par un attrait dans l’utilisation des réseaux sociaux avec leurs effets multiplicateurs induits par une viralité des contenus publiés ou encore dans le choix fait pour les services en ligne, la loi relative à la protection des données à caractère personnel était une réclame qui était vivement attendue, elle vient renforcer le statut juridique de la liberté d’expression au Cameroun.
Mécaniquement, le Cameroun a ajouté dans son escarcelle, la loi N°2024/017 faisant l’objet de cet article, qui encadre, spécifie et définit le caractère personnel des données collectées mais aussi les obligations des responsables de traitement des données qui jusqu’ici manquaient de pertinence en matière de principe de base d’accountability et de base légale avec le consentement, qui manquaient aussi d’autorité en matière de sanctions dissuasives dans la manipulation frauduleuse des données à caractère personnel et de cohérence au regard des droits reconnus aux citoyens, aux mineurs et aux personnes décédées.
Nous pouvons d’ores et déjà mettre en lumière la loi n° 2010/021 du 21 décembre 2010 régissant le commerce électronique au Cameroun qui était déjà une sorte de « planche de salut » en matière de sécurisation de transactions électroniques mais la donnée à caractère personnel n’était pas encadrée, spécifié e et définie ; la loi n° 2010/012 du 21 décembre 2010 relative à la cyber-sécurité et la cyber-criminalité au Cameroun qui protège la vie privée dans le cyberespace ; la loi cadre n° 2011/012 du 06 mai 2011 portant protection du consommateur au Cameroun et la loi n°2023/009 du 25 juillet 2023 portant charte de protection des enfants en ligne.
De quoi émettre le vœu d’un parangon parfait entre citoyen et législateur camerounais autour des thématiques liées à l’Economie numérique actuelle, d’autres défis importants et cruciaux restent à braver notamment et pas des moindres, la bonne vulgarisation de cette nouvelle loi sur la protection des données à caractère personnel.

Hervé Kack
Directeur du Cabinet de conseil Ukali na Hodari

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

22 votes

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

"Ce que vous allez lire ici". La présentation de cet article et seulement celle-ci a été générée automatiquement par l'intelligence artificielle du Village de la Justice. Elle n'engage pas l'auteur et n'a vocation qu'à présenter les grandes lignes de l'article pour une meilleure appréhension de l'article par les lecteurs. Elle ne dispense pas d'une lecture complète.

A lire aussi :

Explorer : # protection des données personnelles # consentement # sanctions

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Actualité juridique "Ailleurs dans le Monde"
  4. Cameroun

Chefs traditionels et autorités administratives au Cameroun : Duel ou duo ? Par Youssoufa Yaya, Doctorant.

23 avril 2025

La question de la répartition des responsabilités pénales au sein de l’équipe de soins : le cas des formations sanitaires du Cameroun. Par Maryvonne Marie Ngo Nguidjol, Doctorante.

13 mars 2025

[Cameroun] Les ventes immobilières doivent-elles toujours, à peine de nullité, se faire sous la forme notariée ? Par André Alexis Bibehe, Avocat-Stagiaire.

13 février 2025

Mirages et risques des offres anormalement basses dans les marchés publics au Cameroun. Par Njoya Mefire, Docteur en Droit.

26 novembre 2024

[Cameroun] Problématique de l’application du droit de la concurrence aux plateformes numériques. Par Apollinaire Mboupda, Doctorant.

15 octobre 2024

[Cameroun] Les partis politiques de 1960 à 2023 : analyse à partir de l’histoire constitutionnelle de l’émancipation des partis politiques et des dispositions infra-constitutionnelles. Par Joseph Tize, Doctorant.

22 août 2024

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 320 membres, 27837 articles, 127 254 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Voici le Palmarès Choiseul "Futur du droit" : Les 40 qui font le futur du droit.

• L'IA dans les facultés de Droit : la révolution est en marche.




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Réseau de professionnels du Droit

 

Facilite l'accès aux professions du Droit

 

Association pour la prévention positive des cyberviolences

 

Cabinet d'avocat

 

Collectif d'avocats et de médiateurs

 

 

Bien plus que du droit.

 

Réseau de cabinets d’avocats indépendants

 

Agir en faveur de l’accès au droit

 

Cabinet d'Avocats

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

Solutions

Previous Next

 

Association de gestion et de comptabilité pour Avocats

 

Aides et Conseils à l'installation des avocats.

 

Logiciels pour professionnels du droit.

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Logiciels de conformité, risques et éthique

 

Lettre recommandée électronique

 

Solutions d'informations pour professionnels du droit.

 

Traducteurs assermentés

 

Editeur juridique

 

1er service entièrement en ligne pour externaliser vos appels

 

Offres pour les métiers du droit

 

Destruction et recyclage de documents confidentiels

 

AI-powered Contract Management

 

Maintenance informatique spécialisée pour les professionnels du droit

 

Créateur de confiance juridique

Formateurs

Previous Next

 

Se former aux métiers du Droit

 

La Compétence juridique se recrute !

 

Formation, recherche et innovation

 

Se former est une chance !

 

L’école des nouveaux juristes !

 

Cabinet juridique et organisme de formation

 

Des formations spécialisées

 

Formations courtes ou longues à destination des professionnels du droit

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Les coups de coeur des libraires juridiques (épisode 2).

Sélection Liberalis spécial Jour ferié : le Paradox Museum Paris.

Sélection Liberalis du week-end : L’art en mouvement à l’Atelier des Lumières.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.
- Comment bien utiliser le Village de la justice pour vos publications d’articles juridiques ?
- [Vidéo] Entretien avec Rémy Heitz, procureur général de la Cour de cassation dans l’émission Fenêtres sur cours.
- Dans les coulisses des directions juridiques de Decathlon et Bolloré Transport & Logistics.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.